Имя:Worm/Zotob.A
Обнаружен:16/08/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:22.528 байт.
Контрольная сумма MD5:5C223D76A89AF8303777CD4C434F8707
Версия VDF:6.31.1.108

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Zotob.A
   •  Mcafee: W32/Zotob.worm.gen
   •  Kaspersky: Net-Worm.Win32.Mytob.cd
   •  TrendMicro: WORM_ZOTOB.A
   •  F-Secure: Zotob.A
   •  Sophos: W32/Zotob-A
   •  Panda: W32/Zotob.A.worm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Блокирует доступ к веб-страницам IT-security компаний
   • Изменение реестра
   • Использует уязвимость ПО

 Файлы Создается собственная копия:
   • %SYSDIR%\botzor.exe



Файл будет переписан.
%SYSDIR%\drivers\etc\hosts

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS SYSTEM"="botzor.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS SYSTEM"="botzor.exe"



Изменяется следующий ключ реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Прежнее значение:
   • "Start"=%Настройки пользователя%
   Новое значение:
   • "Start"=dword:00000004

 Сетевое инфицирование Эксплойт:
Используется следующая брешь в безопасности:
– MS05-039 (уязвимость в Plug and Play)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.
Загруженный файл сохраняется на удаленном компьютере в следующем виде: %SYSDIR%\haha.exe

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: diabl0.tu**********ders.net
Порт: 8080
Канал: #botzor elite
Имя: [BOT]%случайная комбинация из шести букв%

 Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
      www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
      moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com


 Backdoor Открываются следующие порты:

%выполненный файл% по TCP порту 33333 для обеспечения FTP сервера.
%выполненный файл% к произвольному TCP порту
%выполненный файл% по TCP порту 8888 для обеспечения удаленной оболочки

 Разное Мьютекс:
Создается мьютекс:
   • B-O-T-Z-O-R


Строка:
Здесь содержатся следующие последовательности:
   • Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
   • MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Описание добавил Dragos Tomescu в(о) вторник, 16 августа 2005 г.
Описание обновил Dragos Tomescu в(о) вторник, 30 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.